کلاه سیاه اروپا 2022 – لندن – CoinStomp. سگ نگهبان. دنونیا.
این کمپینهای حملات سایبری یکی از پرکارترین تهدیدات امروزی هستند که سیستمهای ابری را هدف قرار میدهند - و توانایی آنها برای فرار از شناسایی باید به عنوان یک داستان هشداردهنده از تهدیدات احتمالی آینده باشد، یک محقق امنیتی امروز در اینجا توضیح داد.
کمپینهای بدافزار متمرکز بر ابر اخیر نشان دادهاند که گروههای متخاصم از فناوریهای ابری و مکانیسمهای امنیتی آنها دانش نزدیکی دارند. و نه تنها این، بلکه آنها از آن به نفع خود استفاده می کنند.
در حالی که سه کمپین حمله در این مرحله تماماً در مورد رمزنگاری هستند، برخی از تکنیکهای آنها میتواند برای اهداف پلیدتری استفاده شود. و در بیشتر موارد، این حملات و سایر حملاتی که تیم Muir دیده است، از تنظیمات ابری با پیکربندی نادرست و سایر اشتباهات سوء استفاده می کنند. به گفته مویر، این بیشتر به معنای دفاع از آنها در کمپ مشتریان ابری است.
مویر به Dark Reading میگوید: «در واقع برای این نوع حملات، بیشتر به کاربر مربوط میشود تا ارائهدهنده خدمات [ابر]. آنها بسیار فرصت طلب هستند. او گفت که اکثر حملاتی که می بینیم بیشتر مربوط به اشتباهات مشتریان ابری است.
او گفت که شاید جالب ترین پیشرفت در این حملات این باشد که آنها اکنون محاسبات و کانتینرهای بدون سرور را هدف قرار می دهند. او در ارائه خود گفت: «سهولت در به خطر افتادن منابع ابری، ابر را به یک هدف آسان تبدیل کرده است.تکنیک های فرار از تشخیص دنیای واقعی در ابر"
DoH، این یک Cryptominer است
بدافزار Denonia محیط های بدون سرور AWS Lambda در فضای ابری را هدف قرار می دهد. مویر گفت: "ما معتقدیم که این اولین نمونه بدافزار افشا شده عمومی است که محیط های بدون سرور را هدف قرار می دهد." در حالی که این کمپین به خودی خود در مورد رمزنگاری است، مهاجمان از برخی روشهای فرمان و کنترل پیشرفته استفاده میکنند که نشان میدهد در فناوری ابری به خوبی مطالعه شدهاند.
مهاجمان Denonia از پروتکلی استفاده میکنند که DNS را روی HTTPS (معروف به DoH) پیادهسازی میکند، که درخواستهای DNS را از طریق HTTPS به سرورهای حلکننده مبتنی بر DoH ارسال میکند. این به مهاجمان راهی می دهد تا در ترافیک رمزگذاری شده پنهان شوند به طوری که AWS نتواند جستجوهای DNS مخرب آنها را مشاهده کند. مویر گفت: "این اولین بدافزاری نیست که از DoH استفاده می کند، اما مطمئناً یک اتفاق رایج نیست." او گفت: "این از بدافزار برای ایجاد هشدار" با AWS جلوگیری می کند.
همچنین به نظر می رسد که مهاجمان انحرافات بیشتری را برای منحرف کردن یا سردرگم کردن تحلیلگران امنیتی، هزاران خط از رشته های درخواست عامل کاربر HTTPS پرتاب کرده اند.
"در ابتدا ما فکر می کردیم که ممکن است یک بات نت یا DDoS باشد ... اما در تجزیه و تحلیل ما در واقع توسط بدافزار استفاده نمی شد" و در عوض راهی برای پاک کردن باینری برای فرار از ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) و تجزیه و تحلیل بدافزار بود. ، او گفت.
Cryptojacking بیشتر با CoinStomp و Watchdog
CoinStomp یک بدافزار بومی ابری است که ارائهدهندگان امنیت ابری در آسیا را برای مقاصد cryptojack هدف قرار میدهد. اصلی آن طرز عمل دستکاری مهر زمانی به عنوان یک تکنیک ضد پزشکی قانونی و همچنین حذف سیاست های رمزنگاری سیستم است. همچنین از خانواده C2 مبتنی بر پوسته معکوس dev/tcp برای ترکیب با محیطهای یونیکس سیستمهای ابری استفاده میکند.
سگ نگهبانمویر خاطرنشان کرد، در همین حال، از سال 2019 وجود داشته است و یکی از برجستهترین گروههای تهدید متمرکز بر ابر است. "آنها در بهره برداری از پیکربندی نادرست ابر، [تشخیص آن اشتباهات] با اسکن انبوه، فرصت طلب هستند."
مهاجمان همچنین برای فرار از شناسایی، به پنهاننگاری قدیمی متکی هستند و بدافزار خود را پشت فایلهای تصویری پنهان میکنند.
مویر نتیجه گرفت: «ما در تحقیقات بدافزار ابری در نقطه جالبی قرار داریم. کمپین ها هنوز تا حدودی از نظر فنی کمبود دارند، که خبر خوبی برای مدافعان است.
اما چیزهای بیشتری در راه است. به گفته مویر، «بازیگران تهدید پیچیدهتر میشوند» و احتمالاً از رمزنگاری به حملات مخربتر حرکت خواهند کرد.